softice2

Soft-Ice version 2.0 - Part Two by CyberBobJr - 24/05/1998

Voiçi venir le retour de la vengeance du fils de Soft-Ice II la revanche !!!

Sommaire

Addendum de la première partie

Introduction :

Apparemment, tout le monde maitrise sans peine Soft-Ice, vu le nombre de mails que j'ai reçu (2-3 maxi) j'en déduis que vous n'avez pas besoin que j'écrive un cours supplémentaire, mais qu'importe, dans le tas de Lamers qui me lit y'en aura toujours un ou deux qui sortiront du lot et qui, je l'espère, viendront grossir les rangs de la scène Française ...
Les remerciements :

Kellog's pour ses cracks et ses techniques ingénieuses Hug's 2000 pour ses cours intéressants Snem pour diriger d'une main de maitre le groupe DSK Movax1st pour sa conception de la bible du crack +Fravia pour son site merveilleux +Orc pour nous avoir montré la voie Frog's Print pour nous tracer le chemin Ethan et Mr Tbt pour corriger mes erreurs ;) MisterX/anonymous pour ses compétences A tous le DSK-CREW A claude pour m'avoir donné la doc de Soft-Ice (bonheur !) Et tous ceux dont j'ai oublié le nom ... qu'il me pardonne ... ;) Allez hop ! on attaque :

Addendum sur la première partie :

A propos des Bpx : Il est possible de poser un breakpoint sur une api windows, ou sur tout autre fonction, a partir du moment où elle à été déclarée dans les exports de Soft-Ice, ces fonctions se trouvent généralement dans les Dll accompagnant un programme quelconque, pour cela il suffit de poser un bpx nomdelafonction

(ex: bpx hmemcpy ou bpx getdlgitemtexta)

Attention toutefois sur les apis windows, certaines sont contenues dans les modules user.dll et d'autres dans le module user32.dll, donc vérifier bien la syntaxe de votre bpx, au besoin vous pourrez vérifier la fonction par l'utilisation de la commande exp nomdelafonction qui vous donnera le nom du module qui l'a contient.

A propos des Bpm : je vais prendre un exemple tout simple :

Vous posez un bpx sur hmemcpy, pour récupérer une entrée clavier par exemple, vous tracez la fonction jusqu'a l'instruction movsw, vous notez l'adresse (par exemple 15d7:00000000) et vous posez un bpm dessus, vous relancez le programme et ... ca marche pas ! la raison en est simple : Soft-Ice à bien posé un bpm sur cette zone mémoire, mais votre programme n'y accede pas en utilisant l'adresse 15d7:00000000, or vous savez qu'une adresse mémoire peut être référencée par un segment:offset différend, et là, Soft-Ice ne sait pas ... donc pour résoudre le problème vous devez obtenir l'adresse linéaire de la mémoire, en particulier si vous utilisez 15d7:00000000, vous devez faire un page 15d7:00000000, cela vous donnera une adresse linéaire, il ne vous restera plus qu'a poser un bpm 0030:adresselinéaire, et voilà, votre breakpoint sera correctement posé.

Toujours à propos du bpm, si vous posez un bpm adressememoire X , SoftIce vous donnera la main dés qu'une instruction est faite à cet emplacement mémoire, ca peut-être une bonne alternative au bpx si ca ne marche pas, ou si vous voulez entrez dans un module non-déclaré.
Les BPM et les PBInt sont limités au nombre de 4 pour les processeurs Pentium et au-delà.

Les expressions :

La puissance de Soft-Ice provient également de ses macro commandes, nous allons voir comment utiliser les expressions pour poser des breakpoints, notons que la syntaxe est indentique à celle du C ou du C++.

Voiçi la liste des instructions disponibles (pompée sur la doc ;) :

Opérateur d'indirection	Exemple
->	ebp->8 (donne le dword pointé par ebp+8)
.	eax.1C (donne le dword pointé par eax+1c)
*	*eax (donne la valeur dword pointée par eax)
@	@eax (idem .)

Opérateur mathématique	Exemple
/	Si tu comprends pas, retourne à l'école !!!
%	Modulo
<< ou >>	eax << 2 ou eax >> 1 (décalage de n bits)
?+	Force la valeur en décimal (exe : ?+42)
?-	Force la valeur en décimal (exe : ?-42)

Opérateurs logiques	Exemple
!	NOT logique
&&	AND Logique
\|\|	OR Logique
==	Comparaison d'égalité
!=	Comparaison de différence
<	Inférieur
>	Supérieur
<=	Inférieur ou égal
>=	Supérieur ou égal

Les fonctions : certaines fonctions sont implémenté dans Soft-Ice, et vous permette de gagner du temps, voiçi la liste :

Fonction	Exemple/commentaire
Byte	Obtenir les bytes de poids faible (ex : ? byte (0x1234) = 0x34)
Word	Obtenir le mot de poids faible (ex : ? word (0x12345678) = 0x5678)
Dword	Idem mais pour un double mot (ex : ? Dword (0xff) = 0x000000ff)
Hibyte	OBtenir les bytes de poids forts (ex : ? hibyte (0x1234) = 0x12)
Hiword	Idem mais pour un mot (ex : ? Hiword (0x12345678) = 0x1234)
Sword	Converti un byte en mot signé (ex: ? sword (0x80) = 0xff80)
Long	Converti un byte en mot long signé (ex: ? long (0xff) = 0xffffffff)
WSTR	Affiche la chaine unicode (ex: ? WSTR(eax))
Flat	Converti une adresse relative en une adresse adresse linéaire (ex: ? flat(fs:0) = 0xffdff000)
CFL	Carry flag (ex: ? CFL=type booléen)
PFL	Parity flag
AFL	Auxiliary flag
ZFL	Zero flag
SFL	Sign flag
OFL	Overflow flag
RFL	Resume flag
TFL	Trap flag
DFL	Direction flag
IFL	Interrupt flag
NTFL	Nested Task flag
DataAddr	Retourne l'adresse du premier element affiché dans la zone data (ex: dd @dataaddr)
CodeAddr	Retourne l'adresse de la première instruction affichée dans la zone code (ex: ? codeaddr)
Process	KPEB (Kernel process Environnement Block) du process actif
Thread	KTEB (Kernel Thread Environnement Block) du thread actif
PID	Id du process actif
TID	Id du thread actif
BPcount	Nombre de breakpoints activés (cf plus bas)
BPtotal	Nombre total de breakpoints (cf plus bas)
BPmiss	Nombre de breakpoints échoués ( cf plus bas)
BPindex	Index du brekpoint actuel

Les breakpoints :

BPCount vous donne le nombre de breakpoint dont la valeur est TRUE, il faut savoir que si vous posez un breakpoint avec une condition, cette condition peut être rempli (BPCount++) ou non (BPmiss++), de ce fait vous pouvez encore avoir plus de contrôle sur le programme. BPtotal ne compte pas les réussis ou raté, il défini le nombre total de fois ou le programme va les activer ... exemple :

Vous posez un BPX EIP IF (EAX==1), 2 possibilités se présente :

Le breakpoint s'active si eax==1 => BPCount++

Le breakpoint ne s'active pas car eax!=1 => BPmiss++

De toute façon BPtotal++

On peut donc être plus précis en disant : BPX EIP IF (EAX==1) && (BPCOUNT==5)

Soft-Ice vous donnera la main lorsque eax=1 et que cette expression sera vérifiée 5 fois.

L'instruction IF :

L'instruction IF peut être utilisée de différentes manières, la première et la plus simple consiste à poser un breakpoint si et seulement si un registre contient une ou plusieurs valeurs, exemple :

BPX EIP IF (EAX==1)

// breakpoint en eip (pointeur courant) si le registre eax contient la valeur 1

BPX EIP IF (EAX==1) || (EBX==1)

// breakpoint en eip si le registre eax=1 OU ebx=1

BPX EIP IF (EAX==1) && (EBX==1)

// breakpoint en eip si le registre eax=1 ET ebx=1

Ici la première expression est déja évaluée (comme en C) puis la seconde...

Et voilà, c'est fini pour le moment, il n'y a plus grand choz à dire maintenant sur Soft-Ice, kelkes bricoles pas forcement nécessaire pour notre combat, neanmoins si vous avez des questions, vous pouvez toujours m'envoyer un email.